OpenVPN Remote Access. Несколько клиентов из одной сети.
-
Добрый день.
Имею pfSense 2.3.2: OpenVPN в режиме Remote Access (SSL/TLS + User Auth). OpenVPN работает на нестандартном порту.
Столкнулся со следующей проблемой: если оказывается несколько клиентов в одном филиале (1 внешний ip), то при подключении к VPN-серверу, следующий "подключающийся" клиент пытается занять уже используемый внутренний порт VPN-сервера. При этом "вылетаюют" оба. -
Для сервера всегда используется 1 порт, независимо от числа клиентов, 1 он или 10000 и может быть любым незанятым.
У вас либо:
1.Слишком узкая маска IPv4 Tunnel Network используйте /24, например
2.Включены ли Dynamic IP и Address Pool
3.Либо проблема у с сертификатами.
Каждый клиент должен иметь свой сертификат (что правильно)
Либо должно быть включено Duplicate Connection (неправильно) -
Все три пункта учтены.
- в логах видно, что новый клиент стучится по порту уже занятому порту, в результате вылетают оба с TLS Error и Handshake fail. Сертификаты разные.
Сейчас изменил порт на стандартный и спрятал за NAT (да и клиентам порт не менять). При перезагрузке все подключились правильно. Понаблюдаю.
-
А вы не проверяли случайно-удаленный NAT не выпускает ли всех с одного порта?
Так как что OpenVPN, что сетевому механизму FreeBSD без разницы сколько соединений валиться в один порт-главное их правильно разделить. Но если удаленная сторона выпускает всех с одним портом, то система может дать сбой.
Или как вариант может у вас есть шейпер в офисе с OpenVPN. -
В итоге смена порта на стандартный помогла. Всё стало стабильно (тфу 3 раза)
-
В итоге смена порта на стандартный помогла. Всё стало стабильно (тфу 3 раза)
Странно, честно говоря. 1194 - стандартный порт чисто условно. У меня нет ни одного сервера на стандартном порту, у коммерческих провайдеров OVPN обычно тоже.
-
Согласен, вроде бы никакой связи. Думаю всё же дело в "дешманском" роутере в филиале